IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

EU DatenDurch die Datenschutzgrundverordnung ändert sich in der Unternehmenspraxis im Vergleich zum aktuell geltenden deutschen Datenschutzrecht nicht alles – aber neben den gleichbleibenden Aspekten existieren jedoch auch viele Neuerungen, die wegen der hohen Bußgelder in der DSGVO unbedingt berücksichtigt werden sollten. Für Unternehmen heißt dies handeln und nicht abwarten!

Was ist die EU-DSGVO, wann tritt Sie in Kraft?

Die Datenschutzgrundverordnung ist ab dem 25. Mai 2018 EU-weit anwendbar. Anders als bei sogenannten „Richtlinien“ der EU muss eine Verordnung nicht gezielt in nationales Recht umgesetzt werden, sondern gilt unmittelbar in der von der EU erlassenen Form in allen Mitgliedsstaaten. 

Wann ist die Datenverarbeitung zulässig?

Nach der bisherigen Rechtslage im Bundesdatenschutzgesetz (und für den Bereich der elektronischen Medien zusätzlich durch das Telemediengesetz) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten, es sei denn es liegt eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen vor. 

Bezüglich der Einwilligung verlangen die aktuellen §4a BDSG und § 13 Abs.2 TMG grundsätzlich, dass die Einwilligung freiwillig und informiert - einhergehend mit einer jederzeitigen Widerrufsmöglichkeit erfolgt.
Auch die Datenschutzgrundverordnung verlangt die Freiwilligkeit bei der Einholung von Einwilligungen in die Datenverarbeitung und dabei gemäß § 7 Abs.4 DSGVO v.a. deren Zustandekommen ohne Zwang und Berücksichtigung des Koppelungsverbotes. Eine Freiwilligkeit der Einwilligung liegt demnach dann nicht vor, wenn die Datenerhebung mit dem Abschluss eines anderweitigen Vertrages (z.B. Warenkauf) gekoppelt wird, obwohl die Datenerhebung für die Erbringung der Leistung gerade nicht erforderlich ist. Auch bezüglich des Zweckes der Einwilligung ändert sich im Wesentlichen wenig: Dieser muss deutlich erkennbar hervorgehoben werden (Art. 6 Nr.1a DSGVO) und das Vorliegen einer Einwilligung muss seitens des Unternehmens deutlich von anderen Erklärungen abgrenzt werden. Wichtig ist, dass bei der Verarbeitung besonders sensibler Daten (z.B. Gesundheit oder Religion) sich die Einwilligung gezielt auf diese Daten beziehen muss (Art. 9 Nr.2 DSGV0). 

Bezüglich der Form der Einwilligung besteht eine wesentliche Neuerung im Vergleich zum BDSG in der Formfreiheit der Einwilligung. Diese kann nun bspw. auch elektronisch durch einen Klick erfolgen, vorausgesetzt es handelt sich um eine eindeutige und bewusste Handlung der betroffenen Person. Wichtig ist, dass sich am Charakter des Verbotes mit Erlaubnisvorbehalt nichts ändert. Das heißt, dass das bloße Unterlassen des Widerspruchs (z.B. Entfernen eines automatisch in den Voreinstellungen gesetzte Häkchens) oder eine andere Art des Opt-Out nicht genügt. Erforderlich ist immer eine aktive Zustimmung also ein Opt-In. Gemäß Art. 7 Nr. 3 DSGVO ist der zudem Betroffene immer über sein Widerrufsrecht bezüglich der Einwilligung aufzuklären, dies kann wie auch das Einholen der Erlaubnis selbst in einer Datenschutzerklärung erfolgen. Unter bestimmten Voraussetzungen kann die unter dem BDSG eingeholte Einwilligung auch nach Inkrafttreten der DSGVO fortgelten. 

Wichtigster Anwendungsfall der „gesetzlichen Erlaubnis“ vom grundsätzlichen Verbot der Verarbeitung personenbezogener Daten bildet auch nach der neuen Datenschutzgrundverordnung die Interessenabwägung, die nun in Art. 6 Nr.1 f. DSGVO verortet ist. Diese hat zwei Voraussetzungen: Zum einen muss die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein (wie im BDSGG kommen hier alle rechtlichen und wirtschaftlichen Interessen in Betracht) und zum anderen darf die Interessenabwägung nicht zu dem Ergebnis führen, dass die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Vor allem die Informationspflichten gegenüber der betroffenen Person sind im Vergleich zum BDSG allerdings deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (und gegebenenfalls sein Überwiegen gegenüber den Interessen des Betroffenen) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte mitgeteilt werden müssen. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Die Dokumentation der Umsetzung dieser Vorgaben, z.B in einer Datenschutzerklärung ist dabei empfehlenswert. Verstöße gegen die Abwägungs- und Dokumentationspflichten sind nach der DSGVO mit hohen Bußgeldern bewehrt.

Welche Betroffenenrechte gibt es?

Werden die personenbezogenen Daten unrichtig verarbeitet kann der Betroffene gem. Art. 16 DSGVO deren Berichtigung verlangen. Werden die Daten unrechtmäßig erhoben oder hat der Betroffene ihrer Verarbeitung sogar widersprochen kann er gem.- Art. 17 DSGVO auch deren Löschung verlangen. Beiden Aufforderungen sind Unternehmen unverzüglich nachzukommen. In den Medien wird das Recht auf Datenlöschung häufig als das „Recht auf Vergessenwerden“ bezeichnet. Dem Löschungsanspruch des Betroffenen können im Einzelfall aber immer überwiegende öffentliche Interessen (z.B. Interesse der Öffentlichkeit am Nachweis der Integrität von Staatsvertreten), sonstige Interessen oder Rechte anderer entgegenstehen. Eine Abwägung ist dabei der Rechtsprechung im Einzelfall zu überlassen. Für die Unternehmenspraxis ist v.a. wichtig, dass bereits jetzt technische Maßnahmen ergriffen werden, um gegebenenfalls bei Ausübung des Rechts auf Vergessenwerden sofort alle vorhandenen Verknüpfungen mit den personenbezogenen Daten des Betroffenen aufgelöst werden können. 

Gemäß Art. 18 DSGVO kann der Betroffene die „Einschränkung“ der Datenverarbeitung verlangen. Liegen die Voraussetzungen des Art. 18 DSGVO vor (v.a. die Ausübung eines Widerspruchsrechtes gemäß Art. 21 DSGVO) darf außer der Speicherung der Daten keine Weiterverarbeitung der Daten ohne Einwilligung des Betroffenen mehr erfolgen. 

Eine wesentliche Neuerung stellt das Recht des Betroffenen auf Datenübertragbarkeit gemäß Art. 20 DSGVO dar. Dieser Fall behandelt vor allem die Situation des Einstellens personenbezogener Daten bei einem sozialen Netzwerk und den Wunsch des Wechsels des Anbieters. In diesem Fall soll der Betroffene vom Erst-Anbieter die automatische Übertragung seiner Daten auf den neuen Anbieter verlangen können. 

Spielt das nationale Datenschutzrecht ab dem 25. Mai 2018 keine Rolle mehr?

Die Datenschutzgrundverordnung tritt anstelle des aktuellen BDSG, allerdings gewährt sie in sog. „Öffnungsklauseln“ Mitgliedstaaten erhebliche eigene Rechtssetzungsbefugnisse. Der deutsche Gesetzgeber hat hiervon bereits Gebrauch gemacht, sodass je nach Anwendungsfrage zu untersuchen und gegebenenfalls durch rechtliche Beratung abzusichern ist, ob neben der DSGVO auch deutsches Recht Anwendung findet.

Worauf sollte in der Unternehmenspraxis noch geachtet werden?

Die DSGVO manifestiert in Artikel 25 und Erwägungsgrund 78 das Konzept der Privacy by Design. Nach diesem Konzept sind Unternehmen dazu angewiesen z.B. bei der Ausgestaltung von Websites oder Apps bereits bei deren Design Grundsätze des Datenschutzes zu berücksichtigen, z.B. den Grundsatz der Datensparsamkeit.

Die DSGVO führt das Marktortprinzip ein, d.h. die DSGVO findet auch für Unternehmen Anwendung, die bspw. einen Sitz in den USA haben, aber in der EU aktiv sind (z.B. den Markt der EU durch Tracking und Profiling beobachten). Daran anknüpfend verpflichtet die DSGVO v.a. solche Unternehmen einen EU Vertreter für den Datenschutz zu installieren, der dann Ansprechpartner für Aufsichtsbehörden ist. 

Die DSGVO fordert in besonders sensiblen Bereichen, z.B. der Videoüberwachung, in § 35 DSGVO eine Datenschutzfolgenabschätzung durch den Datenschutzbeauftragten. Diese ähnelt z.T der Vorabkontrolle nach dem BDSG, geht jedoch mit zum Teil strengeren Anforderungen auch darüber hinaus. 

Fazit: 

Durch die DSGVO ändern sich nicht alle gesetzgeberischen Grundentscheidungen. Vor allem bleibt es bezüglich der Rechtmäßigkeit der Datenverarbeitung beim grundsätzlichen Verbot mit Erlaubnisvorbehalt. Insbesondere im Bereich der Informationspflichten, Betroffenenrechte und Bußgelddrohungen (vgl. Art. 83 DSGVO) ist Unternehmen jedoch zu raten sich mit den durch die DSGVO geschaffenen Veränderungen auseinanderzusetzen.

Simone Rosenthal

 

Autor: Simone Rosenthal, Rechtsanwältin ist Geschäftsführerin und Datenschutzexpertin der ISiCO Datenschutz GmbH

 

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet